关于ARP病毒的一种预防方法

摘要 随着计算机信息技术和互联网技术的飞速发展，网络已经成为社会经济发展的主要推动力量，人们对网络也越来越依赖。由于计算机互联网追求的是高流通性、高开放性，所以不可避免的会牺牲掉一部分安全性，这就是使用网络的计算机系统容易受恶意软件等网络不安定因素的攻击的根本原因。在众多的网络攻击手段中，ARP病毒是这些年比较常见的一种。本文针对目前网络中存在的ARP病毒，通过分析ARP协议以及ARP病毒实现攻击的原理，讨论了一种ARP病毒的预防思路，是一种防患于未然的措施。

关键词 ARP病毒；ARP欺骗；网络安全

中图分类号TP393文献标识码A文章编号 1674-6708（2011）38-0188-02

0 引言

随着计算机信息技术和互联网技术的飞速发展，网络已经成为社会经济发展的主要推动力量，人们对网络也越来越依赖。由于计算机互联网追求的是高流通性、高开放性，所以不可避免的会牺牲掉一部分安全性，这就是网络上的计算机系统容易受恶意软件等网络不安定因素的攻击的根本原因。在众多的网络攻击手段中，ARP病毒是这些年比较常见的一种。

本文针对目前网络中存在的ARP病毒，通过分析ARP协议以及ARP病毒实现攻击的原理，讨论了一种ARP病毒的预防思路，是一种防患于未然的措施。

1 ARP欺骗病毒概述

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。然而怎么获取呢？需通过地址解析协议获得。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

ARP协议本身并不是病毒，但很多木马程序、病毒都利用了该协议，就成为让人憎恨的ARP病毒。在一般的网络中，路由器和PC均带有ARP缓存，因此这两类设备最容易受到ARP攻击。如同路由器受到ARP攻击时数据包不能到达PC一样，上网PC受到ARP攻击时，数据包也不会发送到路由器上，而是发送到一个错误的地方，当然也就无法通过路由器上网。

从影响网络连接通畅的方式来看，ARP欺骗分为2种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。也就是说所谓ARP欺骗病毒实际上就是一台感染了病毒的计算机不断的冒充网关的IP地址，不停的告诉网络中所有计算机网关地址对应的MAC信息是感染病毒机器的MAC，这样由于他的发包量大大大于网关实际发送的ARP信息数据。所以正确的ARP数据包被虚假伪装过的数据包所掩盖，从而导致到其他计算机要上网时会把对应的数据发送到网关（实际上这个网关对应的MAC已经是中毒机器的MAC地址了），接下来数据的发送与接收完全由中毒机器和正常机器进行了，正确的网关地址被彻底跳过，从而造成网络访问出现问题，虚假欺骗信息赫然网页之上，其他计算机上网缓慢或者根本无法上网，甚至访问到的地址变成了一个虚假页面等。

2 ARP欺骗病毒防治关键

ARP欺骗病毒的诞生和传播与爆发关键在于他向网络中发送了大量的虚假数据包，虚假数据包的内容是告诉其他计算机网关地址的MAC是感染病毒的MAC，比如这台机器的MAC地址是1111-1111-1111，自己的IP地址是192.168.1.5，网络中真正网关地址是192.168.1.254，那么虚假数据包就是告诉其他计算机192.168.1.254对应的MAC地址是1111-1111-1111。

由于TCP/IP协议传输是从低层数据链路层开始到高层网络层的，所以辨认计算机先要通过MAC地址，由于网络中其他计算机已经接收到了192.168.1.254地址对应的MAC是1111-1111-1111，那么他们将首先通过MAC和ARP缓存信息来确定定位目标网关计算机。

因此通过上面的分析可以明确一点，那就是防范ARP欺骗病毒的关键就是处理这种非法数据包——IP地址是网关而MAC地址是感染病毒的计算机。

3 ARP病毒的防治思路

本文主要讨论的是一种ARP欺骗病毒的预防思路——将防治的关键点放在处理ARP欺骗数据包上。由于我们知道了欺骗数据包内容是“IP地址是网关而MAC地址是感染病毒的计算机”，只要针对此数据包进行过滤即可。在网络没有病毒时是可以知道真正的网关对应的正确MAC地址的，只需要通过arp -a或者直接在交换机上查询即可。这里假设真正网关对应MAC地址是2222-2222-2222。

那么需要在交换机上设置一种访问控制列表过滤策略，将所有从交换机各个端口out方向上发送的源地址是192.168.1.254但是源MAC地址不是2222-2222-2222 ，或者目的地址是192.168.1.254而目的MAC地址不是2222-2222-2222的数据包丢弃（放入黑洞loopback环路），同时自动关闭相应的交换机端口。

4 预防ARP欺骗病毒模拟流程

由于ARP欺骗病毒的传播是需要通过交换机发送虚假广播信息的，而虚假数据信息内容中源或目的地址IP信息一定包括192.168.1.254，而对应的MAC地址一定不是正确的2222-2222-2222，因此这类虚假数据会被之前我们在交换机上设置的访问控制列表或过滤策略所屏蔽，再结合自动关闭对应端口彻底避免ARP欺骗蠕虫病毒的传播。之后感染了病毒的计算机将无法上网，它一定会联系网络管理员，从而帮助我们快速定位问题计算机，在第一时间解决问题。

5 结论

这种防范措施是需要结合ACL访问控制列表以及路由策略等多个路由交换设备功能的，首先要保证路由交换设备支持这些功能，另外还要进行合理的设置，不能够过滤掉正确的数据包。

参考文献

[1]王燕，张新刚.基于ARP协议的攻击及其防御方法分析[J].微计算机信息，2007，23(36).

[2]陈英，马洪涛.局域网内ARP协议攻击及解决办法[J].中国安全科学学报，2007，17(7).

[3]谭敏，杨卫平．ARP 病毒攻击与防范[J].网络安全技术与应用，2008，4.

相关热词搜索： 预防 病毒 方法 ARP